- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-公鑰管理
本章節下載: 17-公鑰管理 (240.30 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 非對稱密鑰算法
¡ 管理遠端主機公鑰
公鑰管理用於非對稱密鑰算法的密鑰管理與發布。
非對稱密鑰算法是數據加解密的一種方法,用來保證數據在網絡中安全傳輸、不被攻擊者非法竊聽和惡意篡改。如圖-1所示,在非對稱密鑰算法中,加密和解密使用的密鑰一個是對外公開的公鑰,一個是由用戶秘密保存的私鑰,從公鑰很難推算出私鑰。公鑰和私鑰一一對應,二者統稱為非對稱密鑰對。通過公鑰(或私鑰)加密後的數據隻能利用對應的私鑰(或公鑰)進行解密。對稱密鑰算法中,加密和解密使用相同的密鑰。
非對稱密鑰算法包括RSA(Rivest Shamir and Adleman)、DSA(Digital Signature Algorithm,數字簽名算法)、ECDSA(Elliptic Curve Digital Signature Algorithm,橢圓曲線數字簽名算法)和SM2算法等。
非對稱密鑰算法既可以用來對發送的數據進行加/解密,也可以用來對數據發送者的身份進行認證。非對稱密鑰算法廣泛應用於各種應用中,例如SSH(Secure Shell,安全外殼)、SSL(Secure Sockets Layer,安全套接字層)、PKI(Public Key Infrastructure,公鑰基礎設施)。
在本地設備上,可以生成RSA、DSA、ECDSA和SM2四種類型的本地非對稱密鑰對。
在本地設備上,可以對本地非對稱密鑰對進行查看和導出操作,具體包括:
· 直接查看非對稱密鑰對中的公鑰信息。記錄下該主機公鑰數據後,在遠端主機上,可以通過文本粘貼的方式將記錄的本地主機公鑰導入到遠端設備上。
· 按照指定格式將本地主機公鑰導出到指定文件。將該文件上傳到遠端主機上後,可以通過從公鑰文件中導入的方式將本地主機公鑰保存到遠端設備上。
· 按照指定格式將本地主機公鑰導出到頁麵上顯示。通過拷貝粘貼等方式將顯示的主機公鑰保存到文件中,並將該文件上傳到遠端主機上後,可以通過從公鑰文件中導入的方式將本地主機公鑰保存到遠端設備上。
在如下幾種情況下,建議用戶刪除舊的非對稱密鑰對,並生成新的密鑰對:
· 本地設備的私鑰泄露。這種情況下,非法用戶可能會冒充本地設備訪問網絡。
· 保存密鑰對的存儲設備出現故障,導致設備上沒有公鑰對應的私鑰,無法再利用舊的非對稱密鑰對進行加/解密和數字簽名。
· 本地證書到達有效期,需要刪除對應的本地密鑰對。
在本地設備上,可以對遠端非對稱密鑰對的公鑰進行導入、查看和刪除操作。
在某些應用(如SSH)中,為了實現本地設備對遠端主機的身份驗證,需要在本地設備上保存遠端主機的RSA或DSA主機公鑰,即將遠端主機公鑰導入到本地設備。導入遠端主機公鑰的方式有如下兩種:
· 從公鑰文件中獲取:事先將遠端主機的公鑰文件保存到本地設備(例如,通過FTP或TFTP,以二進製方式將遠端主機的公鑰文件保存到本地設備),本地設備從該公鑰文件中導入遠端主機的公鑰。導入公鑰時,係統會自動將遠端主機的公鑰文件轉換為PKCS(Public Key Cryptography Standards,公共密鑰加密標準)編碼形式。
· 文本輸入:事先在遠端主機上查看其公鑰信息,並記錄遠端主機公鑰的內容。在本地設備上采用手工輸入的方式將遠端主機的公鑰數據輸入到本地。手工輸入遠端主機公鑰時,可以逐個字符輸入,也可以一次拷貝粘貼多個字符。
· 手工配置遠端主機的公鑰時,輸入的主機公鑰必須滿足一定的格式要求。設備上查看到的主機公鑰信息可以作為輸入的公鑰內容;通過其他方式顯示的公鑰可能不滿足格式要求,導致主機公鑰保存失敗。因此,建議選用從公鑰文件導入的方式配置遠端主機的公鑰。
· SM2類型的公鑰不支持導入。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
